谷歌改口将修复旗下产品地理位置信息泄露问题

2018-06-22 12:02 标签: 信息泄露,网络安全

  据外媒美国时间6月18日报道,未来几周内,谷歌将修复旗下两款最火爆消费级产品的地理位置信息泄露问题。最新研究显示,只需在后台运行一个简单的脚本,黑客就能从Google Home或Chromecast电视棒上搜集精确的位置信息。

  来自安全公司Tripwire的研究者Craig Young表示,他发现了谷歌这两款产品上的一个身份验证的弱点,黑客能通过弱点拿到用户极为精确的地理位置信息。原来,他们只需询问谷歌设备附近无线网络的名单,随后将该名单发给谷歌的地理位置查询服务就行。

  黑客完全可以进行远程攻击,只要能让受害者连接在相同Wi-Fi或有线网络上的产品,打开一个链接就行。Young说道。不过,这种攻击方法有其局限性,因为这个至关重要的链接至少要开启一分钟以上,攻击者才能拿到精确的地理位置信息。

  一般来说,网站都会记录访问者的数字IP地址,如果结合在线地理定位工具使用,就能搜集到访问者所处地理位置的信息。不过,此类地理位置信息在准头上可差得多。

  但是,谷歌的地理位置数据可不一样,它们在全球有用大量无线网络名称的综合性地图,每个Wi-Fi网络都有对应的物理地址。掌握了这些数据的谷歌,通过三角测量甚至能将用户地位精确到几英尺之内。(如果你不信,就请关掉手机上的定位数据并移除SIM卡,这时手机照样能找到你的位置)。

  与普通的IP地址定位相比,谷歌的位置数据精准度要高出不少。Young说。如果现在我定位了自己的IP地址,得到的数据只能落在我周边2英里之内。如果用家里的IP地址进行定位,位置漂移甚至能达到3英里。一旦黑客拿走谷歌的位置数据,定位精度就能缩短到设备周边10米左右。

  我只在三种环境下进行过测试,每次得出的地址都相当精确。Young说道。基于Wi-Fi的定位主要靠对信号强度、接入点以及用户手机位置(已知)的三角测量得出。

  这个弱点除了会曝光Chromecast或Google Home用户的位置信息,还能让黑客有机可乘,发动钓鱼和勒索攻击。

  其实全世界的骗子都差不多,美国的也喜欢冒充FBI或国税局来恐吓你,他们甚至还会威胁向你的家人和朋友泄露某些秘密,而精确的地里位置信息会成为骗子的帮凶,增加他们的手的几率。

  雷锋网了解到,今年5月,Young向谷歌报告了自己的发现,不过搜索巨头直接回复称,自己不会修复这个问题。但后来它们改了口,称准备推送升级包解决这两款设备的隐私泄露问题。据悉,这个升级包将于今年7月中旬正式推送。

  我们必须假定,在本地网络上可以访问的任何无认证数据攻击者也能随意接入。Young在博客中写道。这就意味着,所有请求都必须进行验证,而所有未验证的响应都越模糊越好。

  如果你不太懂技术,解决该问题最好的方案就是为联网设备专门添加一个路由器。Young在博客上写道。只需将新路由器的WAN口连上现有路由器的开放LAN端口,攻击者漂浮在主网络中的代码就不能随意控制这些联网设备了。虽然这种方案并非终极防御之术,但防范普通的攻击者绰绰有余了,因为他们中大多数人恐怕根本就意识不到自己还得攻克另一个网络。

  稿源:雷锋网,封面源自网络;

  以上为正文内容。

  网堤安全-专业的云安全解决方案综合服务商!

  转载请注明:网堤安全https://www.ddos.com

 

 

 

行业资讯 Industry Information

关于我们

About Us